Wraz z rozwojem oszustw phishingowych, pojawienie się złośliwego oprogramowania jako usługi (MaaS), skierowanego specjalnie do użytkowników systemu Windows, uwydatnia ten trend. Chociaż Microsoft podjął działania w odpowiedzi na te zagrożenia, oszustwo pozostaje aktywne. Poniżej przedstawiamy bliższe omówienie sposobu działania tego wyrafinowanego oszustwa i kroków, które możesz podjąć, aby się zabezpieczyć.
Zrozumienie oszustwa phishingowego typu „malware as a service”
Oszustwa phishingowe zazwyczaj wykorzystują e-maile, wiadomości tekstowe, wyskakujące okienka lub wprowadzające w błąd strony internetowe, aby oszukać użytkowników. Niedawno eksperci Microsoft Defender zidentyfikowali strategię, która polega na stosowaniu zaufanych aplikacji, aby zmylić użytkowników i nakłonić ich do zainstalowania złośliwego oprogramowania, co komplikuje proces wykrywania.
W większości przypadków system Windows jest w stanie blokować takie złośliwe oprogramowanie ze względu na brak ważnego certyfikatu bezpieczeństwa. W tym przypadku kluczową rolę odgrywa certyfikat Extended Validation (EV), który zapewnia użytkownikom wiarygodność marki i ochronę przed próbami phishingu. Oszuści opracowali jednak sprytne obejście tego problemu.
Stworzyli pozory legalności, tworząc TrustConnect Software PTY LTD, firmę-atrapę. Wykorzystując sztuczną inteligencję, stworzyli kompleksową tożsamość firmy – obejmującą stronę internetową, pozytywne recenzje i dane dotyczące klientów. Ubiegając się o certyfikat EV, skutecznie sprawili, że ich złośliwe oprogramowanie było wiarygodne zarówno w oczach użytkowników, jak i systemów.
Oznacza to, że oszuści legalnie zdobyli ważny certyfikat EV, zamiast uciekać się do kradzieży lub fałszerstwa. W rezultacie każde rozpowszechniane przez nich złośliwe oprogramowanie jest natychmiast rozpoznawane przez system Windows jako legalne.
Aby zweryfikować certyfikat aplikacji w systemie Windows, wystarczy kliknąć prawym przyciskiem myszy plik wykonywalny i przejść do Właściwości → Podpisy cyfrowe → Szczegóły → Wyświetl certyfikat.
Sytuacja zaostrza się jeszcze bardziej, gdy TrustConnect przekształca się w legalną firmę, obsługującą nieuczciwych przedsiębiorców. Firma przyjęła model biznesowy MaaS, oferując subskrypcje już od 300 dolarów miesięcznie w kryptowalutach, aby umożliwić innym przeprowadzanie ataków phishingowych.
Użytkownicy padają ofiarą e-maili zawierających pliki PDF, zaproszenia na spotkania i inne pozornie nieszkodliwe treści, które kryją w sobie złośliwe linki. Linki te często zachęcają użytkowników do „aktualizacji” aplikacji, takich jak Adobe Acrobat czy Zoom. Po kliknięciu „Aktualizuj” użytkownicy nieświadomie instalują złośliwe oprogramowanie.
Typowe pliki wykonywalne, takie jak adobereader.exe, trustconnectagent.exe, msteams.exe, zoomworkspace.clientsetup.exei invite.exedziałają płynnie i nie budzą podejrzeń, ponieważ posiadają prawidłowe sygnatury EV. W rezultacie złośliwe oprogramowanie tworzy foldery w plikach programów i uruchamia się wraz ze startem systemu, podobnie jak każda normalna aplikacja, co utrudnia wykrycie nawet najbardziej zaawansowanym użytkownikom.
Cofnięcie certyfikatu EV: ograniczone rozwiązanie
Można by przypuszczać, że cofnięcie certyfikatu EV skutecznie uniemożliwiłoby atak phishingowy TrustConnect, ale rzeczywistość jest bardziej skomplikowana. Chociaż środek ten uniemożliwia nowemu złośliwemu oprogramowaniu uzyskanie certyfikatu EV, nie unieważnia on wstecznie wydanych wcześniej certyfikatów.
W rezultacie każde złośliwe oprogramowanie, które wcześniej uzyskało certyfikat, nadal jest uznawane przez system Windows za legalne. W związku z tym użytkownicy muszą podjąć proaktywne kroki, aby się zabezpieczyć. Chociaż klienci korporacyjni są głównymi celami ataku, użytkownicy indywidualni nie powinni uważać się za odpornych.
Ponadto specjaliści ds.bezpieczeństwa stwierdzili, że sprawcy stojący za TrustConnect opracowują już inną odmianę złośliwego oprogramowania o nazwie DocConnect, która wykorzystuje podobne taktyki.
Formatowanie: zalecane podejście
Badania wskazują, że próby eliminacji złośliwego oprogramowania ujawniają jeszcze bardziej zaawansowane warstwy, niż początkowo zakładano. Złośliwe oprogramowanie TrustConnect instaluje różne struktury zdalnego monitorowania i zarządzania (RMM), aby zapewnić ciągły dostęp do zainfekowanych systemów. W związku z tym usunięcie tylko jednej struktury to zaledwie ułamek niezbędnych działań.
Dla osób dotkniętych tym problemem, formatowanie komputera stanowi najskuteczniejsze rozwiązanie gwarantujące całkowite usunięcie złośliwego oprogramowania. Konieczne jest wcześniejsze utworzenie kopii zapasowej plików; po ponownej instalacji systemu Windows, przed przywróceniem kopii zapasowych, przeprowadź dokładne skanowanie antywirusowe. Na szczęście, ponieważ złośliwe oprogramowanie podszywa się pod aplikację systemu Windows, jest mniej prawdopodobne, że będzie powiązane z dokumentami lub zdjęciami.
W środowiskach biznesowych administratorom IT zaleca się uniemożliwienie użytkownikom samodzielnego wykonywania aktualizacji oprogramowania.
Ostrzeżenie dotyczące aktualizacji aplikacji z linków
TrustConnect nie jest jedyną firmą stosującą oszukańcze aktualizacje aplikacji w celu instalacji złośliwego oprogramowania. Ich unikalną zaletą był ważny certyfikat, który utrudniał rozwiązaniom bezpieczeństwa wykrycie ich działań.
Jeśli klikniesz link z pozornie wiarygodnego źródła, który sugeruje aktualizację aplikacji, natychmiast przerwij. Nie kontynuuj aktualizacji.
Zamiast tego otwórz aplikację samodzielnie i sprawdź dostępność aktualizacji w jej ustawieniach lub menu pomocy. W przypadku aplikacji pierwotnie pobranych ze sklepu Microsoft Store, aktualizacje należy również pobierać bezpośrednio ze sklepu.
Jeśli aktualizacje nie są dostępne, możesz być pewien, że napotkany link jest złośliwy. Biorąc pod uwagę częste zmiany w procesach, warto zainstalować nowe aplikacje w środowisku testowym, aby ocenić ich bezpieczeństwo przed pełną integracją.
Krytyczne myślenie w kontekście nieoczekiwanych linków
Popularność oszustw phishingowych prawdopodobnie nie zmniejszy się. Jednym z najskuteczniejszych środków ochrony jest kwestionowanie nieoczekiwanych linków przed ich użyciem. Niedawno otrzymałem e-mail, który pozornie oferował ankietę dotyczącą stawek ubezpieczenia samochodu. Pomimo autentyczności nadawcy, zdecydowałem się przejść bezpośrednio na stronę internetową mojego ubezpieczyciela, zamiast klikać link. Okazało się, że to próba phishingu.
Jeśli nie masz pewności co do autentyczności linku, nie klikaj. W przypadku korespondencji służbowej skontaktuj się z domniemanym nadawcą osobno, aby to zweryfikować. Priorytetem jest bezpieczeństwo, a nie ciekawość, i unikaj odpowiadania na wiadomości, ponieważ to jedynie angażuje oszusta i zwiększa ryzyko.
W obliczu nowych ataków phishingowych, które pojawiają się codziennie i infiltrują nawet platformy takie jak LinkedIn, niezwykle ważne jest, aby być na bieżąco i zachować czujność. Chociaż złośliwe oprogramowanie jako usługa (Malware as a Service) oferuje nowy poziom złożoności, świadomość i ostrożność mogą pomóc użytkownikom uniknąć tych oszustw.
Powiązane artykuły:
Dlaczego przeszedłem z Claude Code na Codex i żałuję, że nie zrobiłem tego wcześniej
9:32
Zrozumienie technologii NVIDIA DLSS: wyjaśnienie skalowania w górę i alternatywnych rozwiązań
9:30
Zrozumienie emulacji: kluczowe korzyści, wady i dodatkowe informacje
9:28
Dodaj komentarz